Início / dba / Perguntas / 62001
Accepted
Mark
Asked: 2014-03-29 06:49:14 +0800 CST

Como descobrir se algo está sendo executado ou depende de uma conta de usuário antes de removê-lo?

  • 772

Executando o SQLServer 2008.

Portanto, preciso remover uma conta de usuário antigo, mas estou preocupado que apenas desativá-la ou excluí-la imediatamente possa fazer com que algumas coisas parem de funcionar corretamente se forem configuradas nessa conta e/ou dependerem dela de alguma forma .

Existe um script que eu possa executar que me diga se há algo que pode quebrar se eu me livrar de uma conta de usuário específica?

sql-server-2008 security

1 respostas

  1. Best Answer

    Não acho que exista um método infalível para encontrar tudo . Afinal, eles poderiam ter acesso a coisas simplesmente por estarem em um servidor específico ou função de banco de dados, ou até mesmo em um grupo Windows AD (você não especificou se este é um login de autenticação SQL ou um login do Windows). Também não há uma maneira infalível de identificar o que pode quebrar se isso for alterado - por exemplo, se eles forem o proprietário de um trabalho ou banco de dados, mudar isso para um proprietário diferente causará algum problema? Talvez talvez não. Posso pensar em algumas coisas que são fáceis de encontrar, mas não é realmente uma maneira de verificar se elas não vão quebrar sem realmente alterá-las e ver o que quebra .

    Para a descoberta inicial, e isso não é de forma alguma exaustiva (apenas um começo para as coisas mais comuns da minha cabeça). Observe que eu os dividi em pedaços para facilitar a leitura, mas você vai querer dispará-los todos de uma vez para reutilizar as variáveis ​​declaradas no início.

    SET NOCOUNT ON;
GO

USE [master];
GO

DECLARE @name NVARCHAR(128) = N'some login name',
---------- change this ---------^^^^^^^^^^^^^^^
        @sid VARBINARY(85),
        @pid INT,
        @sql NVARCHAR(MAX) = N'';

-- figure out their sid and *server* principal_id
SELECT @sid = [sid], @pid = principal_id 
  FROM sys.server_principals 
  WHERE name = @name;

    -- logins de servidores vinculados

    SELECT [linked_servers] = COALESCE(remote_name, 
  N'<<LOCAL>> (' + @@SERVERNAME + ')')
  FROM sys.linked_logins
  WHERE local_principal_id = @pid;

    -- bancos de dados com direitos de autorização

    SELECT [databases_owned] = name 
  FROM sys.databases WHERE owner_sid = @sid;

    -- empregos pertencentes a este login

    SELECT [jobs_owned] = name 
  FROM msdb.dbo.sysjobs 
  WHERE owner_sid = @sid;

    -- jobs com este login tendo uma execução como etapa

    SELECT [jobs_with_steps_having_login_as_proxy] = j.name
  FROM msdb.dbo.sysjobs AS j
  INNER JOIN msdb.dbo.sysjobsteps AS s
  ON j.job_id = s.job_id
  INNER JOIN msdb.dbo.sysproxylogin AS proxy
  ON s.proxy_id = proxy.proxy_id
  WHERE proxy.[sid] = @sid
  GROUP BY j.name;

    -- funções de servidor das quais são membros ou proprietários

    SELECT [member_or_owner_of_server_roles] = r.name
  FROM sys.server_role_members AS rm
  INNER JOIN sys.server_principals AS p
  ON p.principal_id = rm.member_principal_id
  INNER JOIN sys.server_principals AS r
  ON r.principal_id = rm.role_principal_id
  WHERE p.[sid] = @sid OR r.owning_principal_id = @pid;

    -- permissões de servidor que foram concedidas ou revogadas

    SELECT [server_permission] = [permission_name], state_desc
  FROM sys.server_permissions
  WHERE grantee_principal_id = @pid;

    -- funções no banco de dados

    SELECT @sql = N'';

SELECT @sql += ' UNION ALL 
SELECT [database] = ''' + name + ''', 
[member_or_owner_of_database_roles] = r.name
  FROM ' + QUOTENAME(name) + '.sys.database_role_members AS rm
  INNER JOIN ' + QUOTENAME(name) + '.sys.database_principals AS p
  ON p.principal_id = rm.member_principal_id
  INNER JOIN ' + QUOTENAME(name) + '.sys.database_principals AS r
  ON r.principal_id = rm.role_principal_id
  WHERE p.[sid] = @sid OR r.owning_principal_id = 
    (SELECT principal_id FROM ' + QUOTENAME(name) 
    + '.sys.database_principals WHERE sid = @sid)'
  FROM sys.databases 
  WHERE [state] = 0;

SELECT @sql = STUFF(@sql, 1, 10, '');

EXEC sp_executesql @sql, N'@sid VARBINARY(85)', @sid;

    -- permissões no banco de dados

    SELECT @sql = N'';

SELECT @sql += N' UNION ALL 
SELECT 
  [database] = ''' + QUOTENAME(name) + ''', 
  [permission] = state_desc 
     + '' '' + [permission_name],
  [object] = COALESCE(QUOTENAME(s.name) 
    + ''.'' + QUOTENAME(o.name) + '' ('' 
    + RTRIM(o.[type] COLLATE SQL_Latin1_General_CP1_CI_AS) 
    + '')'', p.class_desc)
FROM ' + QUOTENAME(name) + '.sys.database_permissions AS p
INNER JOIN ' + QUOTENAME(name) + '.sys.database_principals AS dp
ON p.grantee_principal_id = dp.principal_id
LEFT OUTER JOIN ' + QUOTENAME(name) + '.sys.objects AS o
ON p.major_id = o.[object_id]
LEFT OUTER JOIN ' + QUOTENAME(name) + '.sys.schemas AS s
ON o.[schema_id] = s.[schema_id]
WHERE dp.[sid] = @sid'
  FROM sys.databases 
  WHERE [state] = 0;

SELECT @sql = STUFF(@sql, 1, 10, '');

EXEC sp_executesql @sql, N'@sid VARBINARY(85)', @sid;

    -- módulos no banco de dados com EXECUTE AS

    SELECT @sql = N'';

SELECT @sql += N' UNION ALL 
SELECT 
  [database] = ''' + QUOTENAME(name) + ''', 
  [object_with_execute_as] = QUOTENAME(s.name) 
    + ''.'' + QUOTENAME(o.name) + '' ('' 
    + RTRIM(o.[type] COLLATE SQL_Latin1_General_CP1_CI_AS) 
    + '')''
FROM ' + QUOTENAME(name) + '.sys.sql_modules AS m
INNER JOIN ' + QUOTENAME(name) + '.sys.database_principals AS dp
ON m.execute_as_principal_id = dp.principal_id
INNER JOIN ' + QUOTENAME(name) + '.sys.objects AS o
ON m.[object_id] = o.[object_id]
INNER JOIN ' + QUOTENAME(name) + '.sys.schemas AS s
ON o.[schema_id] = s.[schema_id]
WHERE dp.[sid] = @sid'
  FROM sys.databases 
  WHERE [state] = 0;

SELECT @sql = STUFF(@sql, 1, 10, '');

EXEC sp_executesql @sql, N'@sid VARBINARY(85)', @sid;

    -- objetos no banco de dados que o login "possui" (ALTER AUTHORIZATION)

    SELECT @sql = N'';

SELECT @sql += N' UNION ALL 
SELECT 
  [database] = ''' + QUOTENAME(name) + ''', 
  [object_with_auth] = QUOTENAME(s.name) 
    + ''.'' + QUOTENAME(o.name) + '' ('' 
    + RTRIM(o.[type] COLLATE SQL_Latin1_General_CP1_CI_AS) 
    + '')''
FROM ' + QUOTENAME(name) + '.sys.database_principals AS dp
INNER JOIN ' + QUOTENAME(name) + '.sys.objects AS o
ON o.[principal_id] = dp.[principal_id]
INNER JOIN ' + QUOTENAME(name) + '.sys.schemas AS s
ON o.[schema_id] = s.[schema_id]
WHERE dp.[sid] = @sid'
  FROM sys.databases 
  WHERE [state] = 0;

SELECT @sql = STUFF(@sql, 1, 10, '');

EXEC sp_executesql @sql, N'@sid VARBINARY(85)', @sid;

    -- esquemas no banco de dados que o login "possui"

    SELECT @sql = N'';

SELECT @sql += N' UNION ALL
SELECT 
  [database] = ''' + QUOTENAME(name) + ''', 
  [schemas_owned] = QUOTENAME(s.name)
FROM ' + QUOTENAME(name) + '.sys.schemas AS s
INNER JOIN ' + QUOTENAME(name) + '.sys.database_principals AS dp
ON s.principal_id = dp.principal_id
WHERE dp.[sid] = @sid'
  FROM sys.databases 
  WHERE [state] = 0;

SELECT @sql = STUFF(@sql, 1, 10, '');

EXEC sp_executesql @sql, N'@sid VARBINARY(85)', @sid;

    Tenho certeza de que há outros que poderiam ser adicionados à lista - não tenho nenhum problema em ajudar a descobrir a consulta se você me disser quais são essas coisas.

    • 4

relate perguntas